Werken in de cloud: geen luchtige kwestie

Efficiënter werken

Voorheen werkte men lokaal op een computer en sloeg bestanden op de harde schijf op.
Tegenwoordig verricht men het werk online en is er de mogelijkheid om dit via internet op te slaan naar een opslagsysteem buiten het bedrijf (in de cloud). Dit opslagsysteem wordt door een externe partij beheerd. Door te werken in de cloud kunnen kosten worden bespaard, het is duurzamer en de opslagcapaciteit kan efficiënter worden benut. De opslagcapaciteit bij een clouddienst kan namelijk in korte tijd meegroeien met de vraag, of weer afnemen als de opslag niet meer nodig is. Investeren in eigen servercapaciteit is niet meer nodig. Dit komt ook de beschikbaarheid en toegankelijkheid ten goede van diensten die in de cloud worden aangeboden. Zo is het bijvoorbeeld mogelijkde bandbreedte eenvoudig aan te passen naar het aantal gebruikers, met als gevolg een kleinere kans dat een website of dienstverlening offline gaat.

Een ander voordeel is dat de beveiliging en privacybescherming door (grote) aanbieders op de markt wordt uitgevoerd. Hierdoor is een organisatie niet afhankelijk van de beschikbare expertise binnen de eigen organisatie. Bovendien kan werken in de cloud bijdragen aan innovatiekracht. Nieuwe innovaties, bijvoorbeeld kunstmatige intelligentie (AI), zijn gebaseerd op cloud-technologie. Bedrijven kunnen effectiever worden door deze innovaties te gebruiken. Hierbij is kennisdeling ook belangrijk.

Donkere wolken

Tegelijk bestaan er risico’s aan werken in de cloud. De Algemene Rekenkamer gaat in haar rapport “Het Rijk in de cloud, donkere wolken pakken samen” uit van risico’s rondom soevereiniteit (zelfbeschikking), continuïteit van dienstverlening en gegevensbeveiliging. Op het gebied van digitale soevereiniteit zit het risico in de afhankelijkheid van leveranciers. Er kan een grote afhankelijkheid ontstaan van dominante en monopolistische leveranciers, wat niet wenselijk is. Dit kunnen ook statelijke actoren zijn, zoals de verplichting van Amerikaanse cloudleveranciers om data beschikbaar te stellen aan de Amerikaanse overheid.

Om de continuïteit van dienstverlening te garanderen, is het voor bedrijven van belang om een zogenoemde ‘vendor lock-in’ te voorkomen. Dat is wanneer de organisatie te afhankelijk wordt van één leverancier en zodoende vrijwel niet meer kan overstappen. Daarom moeten bedrijven ervoor zorgen dat gegevens uit de cloud van de ene leverancier ook te gebruiken zijn bij een andere cloudleverancier.

In het kader van gegevensbescherming moeten organisatie goed nagaan wie geautoriseerd toegang tot die gegevens heeft. Ook moeten opgeslagen gegevens niet benaderd kunnen worden door andere klanten van de cloudleverancier. Het is belangrijk om dat contractueel vast te leggen. Een ander risico dat door veelvuldig cloudgebruik kan ontstaan is het uitbesteden van IT-expertise. Daardoor is er vaak minder expertise in het bedrijf zelf. Deze beperkte kennis en kunde kan leiden tot onvoldoende risicoanalyse en -beheersing, en een slechtere toetsing van de aanbieders van clouddiensten. 

Risico’s voor burgers en bedrijven

In het rapport concludeert de Rekenkamer dat de rijksoverheid ondoordacht in de cloud is gaan werken en onvoldoende heeft nagedacht over de risico’s. Het Rijk heeft maar beperkt zicht op clouddiensten. Voor twee derde van de belangrijkste clouddiensten zijn niet de vereiste risicoafwegingen gemaakt. De dienstverlening aan burgers en bedrijven loopt daardoor volgens de Rekenkamer te veel risico. De mogelijke schade kan de maatschappij ontwrichten.

Om voor een soevereine, continue en veilige overheidsdienstverlening te zorgen, roept de Rekenkamer de overheid op om vanuit één overheid te werken met een uniformer en concreter cloudbeleid. De verschillende ministeries moeten inzicht hebben in het eigen cloudgebruik, en gerichte afwegingen maken tussen de kansen en risico’s bij het afsluiten van een contract met een externe partij. Ook andere organisaties doen er verstandig aan om bij het werken in de cloud, oog te hebben voor de gevolgen en aandachtspunten. Met een zorgvuldig opgesteld cloudbeleid kunnen de voordelen zo veel mogelijk worden benut.